ตอนที่9 ข้อกำหนดข้อ 5 ภาวะผู้นำ (Leadership) ตอนที่ 2

หัวข้อที่จะคุยวันนี้ เราจะพูดถึง ข้อกำหนดที่ 5.2 นโยบาย (Policy) ดังต่อไปนี้

5.2 นโยบาย (Policy)

ผู้บริหารระดับสูงต้องกำหนดนโยบายความปลอดภัยสารสนเทศ ที่:

a) เหมาะสมต่อวัตถุประสงค์ขององค์กร

b) รวมวัตถุประสงค์ความปลอดภัยข้อมูล (ดู 6.2) หรือกำหนดกรอบในการกำหนดวัตถุประสงค์ความปลอดภัยข้อมูล

c) รวมการให้ความสำคัญของผู้บริหาร เพื่อให้สอดคล้องกับความต้องการที่เกี่ยวข้องกับความปลอดภัยข้อมูล และ

d) รวมการให้ความสำคัญของผู้บริหาร ในการปรับปรุงอย่างต่อเนื่องต่อระบบบริหารจัดการความปลอดภัยข้อมูล

นโยบายความปลอดภัยข้อมูล ต้อง:

e) ต้องมีการจัดทำเป็นเอกสาร (documented information)

f) ต้องสื่อสารให้ทราบกันภายในองค์กร และ

g) ต้องจัดหาให้กับผู้ที่เกี่ยวข้อง (interested parties) ตามความเหมาะสม

นิยามนโยบายคือ เจตนาและคำสั่งการโดยรวมที่เป็นทางการโดยผู้บริหารระดับสูง คงเป็นเรื่องพิกลที่ผู้บริหารระดับสูงจะไม่ใส่ใจ หรือไม่ได้เป็นผู้จัดกำหนดสาระของนโยบายนี้ นโยบายนี้กำหนดขึ้นสำหรับระบบการบริหาร จึงจำต้องเป็นนโยบายที่เป็นการเฉพาะสำหรับกำหนดทิศทางที่องค์กรจะมุ่งไป สิ่งที่องค์กรต้องการที่จะบรรลุจากระบบการบริหารของตน หลักฐานอาจจะหมายถึงการที่ผู้บริหารคับสูงอธิบายได้ ว่าทำไมถ้อยแถลงนโยบายถึงต้องเป็นอย่างที่เป็นอยู่ อะไรที่ต้องการบรรลุจากนโยบาย และเกี่ยวพันกับกลยุทธ์องค์กรอย่างไร เหมาะสมกับองค์กรด้านไหน มีความสอดคล้องกับนโยบายด้านอื่นๆรวมถึง สอดคล้องกับความต้องการของผู้มีส่วนเกี่ยวข้อง โดยตัวนโยบายนี้ จะเป็นกรอบในการกำหนด วัตถุประสงค์เป้าหมายทางด้านความปลอดภัยสารสนเทศน์ (เราจะพูดถึง ในข้อ 6.2)   

นโยบายนี้ต้องมีการจัดทำเป็นรูปแบบเอกสาร และต้องมีการสื่อสาร ให้กับทุกคนในองค์ทราบ รวมถึงผู้มีส่วนเกี่ยวข้องต่างไ เพื่อจะได้ปฏิบัติไปในทางเดียวกัน

กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ